远程访问×××—Easy×××

1.       实验拓扑:

使用GNS3模拟器(版本号0.8.6+c2691-advsecurityk9-mz.124-11.T2.bin +以太网交换机

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第1张图片

2.       实验需求:

  a)       C1连接VMnet1和虚拟机Win7绑定一个网卡模仿Win7系统,C2连接VMnet8和虚拟机Win server2008绑定一个网卡模仿Win server 2008服务器

  b)       使用Easy ×××让出差员工在任何地方都可以访问公司内网

  c)       Win server 2008服务器上搭建DNS服务器模仿公司网站

  d)       R1PAT让出差员工可以上互联网

3.       实验步骤:

  a)       IP地址规划

R1

f0/0

  1. 12.0.0.1/24

R3

f0/0

  1. 23.0.0.3/24


f0/1

  1. 192.168.10.1/24


f0/1

  1. 192.168.20.1/24

R2

f0/0

  1. 12.0.0.2/24

C1

Win7

  1. 192.168.10.10/24


f0/1

  1. 23.0.0.2/24

C2

Server2008

  1. 192.168.20.10/24

  b)       配置脚本如下

R1

R1#conf t  //进全局模式

R1(config)#int f0/0 //进接口模式

R1(config-if)#ip add 12.0.0.1 255.255.255.0  //配置IP地址

R1(config-if)#no shut //激活接口

R1(config-if)#int f0/1

R1(config-if)#ip add 192.168.10.1 255.255.255.0

R1(config-if)#no shut

R1(config-if)#exit

R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2 //出口配置默认路由

R1#show ip int b //查看接口配置

wKioL1VgElbCfiscAAB3cqknfWM935.jpg

R1#show ip route //查看路由表

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第2张图片

R2

R2#conf t

R2(config)#int f0/0

R2(config-if)#ip add 12.0.0.2 255.255.255.0

R2(config-if)#no shut

R2(config-if)#int f0/1

R2(config-if)#ip add 23.0.0.2 255.255.255.0

R2(config-if)#no shut

R2#show ip int b

wKiom1VgEPvi6STMAAB2wszKHng066.jpg

R3

R3#conf t

R3(config)#int f0/0

R3(config-if)#ip add 23.0.0.3 255.255.255.0

R3(config-if)#no shut

R3(config-if)#int f0/1

R3(config-if)#ip add 192.168.20.1 255.255.255.0

R3(config-if)#no shut

R3(config-if)#exit

R3(config)#ip route 0.0.0.0 0.0.0.0 23.0.0.2

R3#show ip int b

wKiom1VgEUXTB1JSAAByvaT_KGA370.jpg

R3#show ip route

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第3张图片

C1Win7系统,直接在Win里配置

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第4张图片

C2server2008服务器,直接在服务器里配置

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第5张图片

---------------------------以上是IP地址及路由配置--------------------------------

R1

R1(config)#access-list 10 permit 192.168.10.00.0.0.255

R1(config-if)#int f0/1

R1(config-if)#ip nat inside

R1(config)#int f0/0

R1(config-if)#ip nat outside

R1(config-if)#ex

R1(config)#ip nat inside source list 10 int f0/0overload

测试出差员工可以正常上互联网

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第6张图片

-------------------------------以上是PAT地址配置-------------------------------------------

R3

R3#conf t

R3(config)#aaa new-model //启用AAA

R3(config)#aaa authentication login rz local //定义认证方式为本地认证

R3(config)#aaa authorization network sq local //定义授权方式为本地授

R3(config)#username test password 0 abc123 //添加本地用户名和密码

R3(config)#crypto isakmp policy 1 //配置安全策略,数字表示优先级

R3(config-isakmp)#encr 3des //对称加密算法

R3(config-isakmp)#hash sha //hash算法

R3(config-isakmp)#authentication pre-share //认证算法

R3(config-isakmp)#group 2 //DH

R3(config-isakmp)#exit

R3(config)#ip local pool vip 8.8.8.100 8.8.8.200 //定义地址池

R3(config)#access-list 110 permit ip 192.168.20.00.0.0.255 any //定义到客户端感兴趣流,客户端会反转

R3(config)#crypto isakmp client configuration groupez*** //创建推送给用户的组策略

R3(config-isakmp-group)#key 123456 //定义预共享密钥

R3(config-isakmp-group)#dns 192.168.20.10 //指定内网DNS

R3(config-isakmp-group)#pool vip //调用地址池

R3(config-isakmp-group)#acl 110 //为客户端指定感兴趣流

R3(config-isakmp-group)#save-password //允许客户端可以保存密码

R3(config-isakmp-group)#split-dns benet.com //当客户端访问该域后缀时通过内网DNS解析

R3(config-isakmp-group)#netmask 255.255.255.0 //指定客户端的子网掩码

R3(config)#crypto ipsec transform-set bset esp-3desesp-sha-hmac //配置传输集beset,设置对数据的加密方式

R3(cfg-crypto-trans)#exit

R3(config)#crypto dynamic-map bmap 1 //定义动态map

R3(config-crypto-map)#set transform-set bset //调用传输集

R3(config-crypto-map)#reverse-route //启用路由反向注入,为连接成功的客户端产生32位路由

R3(config-crypto-map)#crypto map mymap clientauthentication list rz //调用认证策略

R3(config)#crypto map mymap isakmp authorization listsq //调用授权策略

R3(config)#crypto map mymap client configurationaddress respond //响应客户端的地址请求

R3(config)#crypto map mymap 1 ipsec-isakmp dynamicbmap //将动态map关联到静态map

R3(config)#int f0/0

R3(config-if)#crypto map mymap //将动态map应用到出口

-----------------------------以上是Easy ×××配置----------------------------------------

  c)       Win7里装Cisco.×××.Client.for.Windows

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第7张图片

  d)       server2008服务器上搭建DNS并新建区域为benet.com

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第8张图片

4.       结果验证:

  a)       验证出差员工可以连接公司内网

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第9张图片

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第10张图片

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第11张图片


思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第12张图片

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第13张图片

  b)       验证访问内部网站

思科路由器实现出差员工访问公司内部网络远程访问***—Easy ***_第14张图片